Вытащить корпоративную информацию в коммуникатор
15 декабря 2008 в 18:50

Вытащить корпоративную информацию в коммуникатор

Добрый день всем!
Есть закрытая корпоративная оперативная производственная информация.
Есть (предположим) множество коммуникаторов, допустим с Windows Mobile 6.0.
Некие крутые специалисты хотят мониторить работу предприятия по Интернету.
Как решить проблему безопасности, используя стандартные средства, выдать информацию на коммуникаторы?
Есть два пути:

  1. искать готовые решения,
  2. сделать самостоятельно.
    Я склоняюсь ко 2.
    Но есть проблема — посторонние смотреть данные не должны, хакеры в сеть предприятия попадать не должны.
    Защиту хотелось бы сделать многоуровневой, по-взрослому, например используя шифрование.
    Поэтому есть мысль использовать внешний хостинг, в котором прием данных в локальную базу из корпоративной осуществлять с расшифровкой, а в приложении хостинга организовать парольную защиту или проверку сертификата, например.
    Использовать для всего этого ASP.NET.
    Хотя java тоже подойдет.
    Есть ли уже изобретенный велосипед?
127
Комментарии (4)
  • 16 декабря 2008 в 00:57 • #
    Илья Балбашов

    А чем Вас не устраивает стандартный VPN?
    Кража коммуникатора еще не будет означать кражу пароля (он на клиенте хеширован). Взлом же возможен с помощью обычного MiB сниффинга трафика, при любых схемах подключения.
    В конце концов, если так важна безопасность, а внешней аудиторской организации нужен лишь определенный набор данных, то возможна установка сервера-гейта в демилитаризованной зоне, а на него уже пробросить VPN.

  • 16 декабря 2008 в 07:39 • #
    Олег Юнусов

    Про VPN интересно. Требует, конечно, согласования с со специалистами по безопасности. Но они мне сразу сказали, что если применяется решение, принятое и зарекомендованное во всем мире как стандартное и приемлимое, они сильно возражать не будут. А вот при хищении коммуникатора - там ведь действительно может сохраниться пароль?

  • 16 декабря 2008 в 12:25 • #
    Илья Балбашов

    VPN и выведение в демилитаризованную зону внешних ресурсов - как раз и относиться к стандартным решениям. Причем будучи примененными совместно - они уже являются избыточным с точки зрения безопасности решением.
    Что касается пароля, зависит от реализации VPN клиента, но предполагаю что стандартно он (в случае сохранения), хранится в виде одностороннего хеша, и требует несоизмеримо больших ресурсов для расшифровки (bruteforce подбора), по сравнения со стоимостью информации.
    Для повышения безопасности можно еще ограничить вход подсетью определенного мобильного провайдера.

  • 16 декабря 2008 в 18:49 • #
    Олег Юнусов

    Спасибо, Илья!
    Про мобильного корпоративного провайдера. Вообще, еще мысль была - обойтись без внешнего Интернета. Например, выставить веб-сервер с данными (учитывая все безопасные решения) у самого провайдера. Провайдера попросить организовать отдельную внутреннюю IP-сеть внутри сети провайдера. Тогда не пришлось бы платить за ненужный внешний трафик. Можно было бы организовать передачу данных существенно дешевле.
    И тогда бы вообще никто из внешнего Интернета и не знал, что есть такой сервис :-).
    Я плохо представляю устройство сети мобильного провайдера, но интуитивно догадываюсь, что я мыслю в верном направлении.
    Непонятно тогда, работало бы решение в роуминге? Вот тут компетенции не хватает...